特洛伊木马攻击技术与防范策略
- 格式:pdf
- 大小:164.19 KB
- 文档页数:3
计算机安全技术COMPUTINGSECURITYTECHNIQUES………………………………………………………………………………………………………………………………
特洛伊木马攻击技术与防范策略
敬晓芳
(中国工程物理研究院化工材料研究所,绵阳629100)
摘要:特洛伊木马是一种程序,它驻留在目标计算机里,随计算机自动启动并在某一端口进行侦听,对接收的数
据识别后,对目标计算机执行特定的操作。其隐蔽性强,种类数量繁多,危害性很大。本文介绍了木马的攻击原理、常用攻击技术以及防范策略。关键词:特洛伊木马;驻留;攻击技术;防范策略
1引言
特洛伊木马(TrojanHorse),简称木马,是一种程序,这种程序被包含在合法的或表面上无害的程序上的恶意程序。其实质只是一个通过端口进行通信的网络客户/服务程序。木马具有很强的隐蔽性,而且能够自启动,并进行自我保护。木马属于“外来代码”的范畴,它表面上提供一些令人感兴趣的有用的功能,但除了用户能看到的功能以外,这种程序还通过内嵌的特殊代码执行一些用户所不知道的恶意的功能。木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。对攻击者而言,使用外来代码的关键优势之一就是,通过将非本地代码或二进制代码引入操作系统环境,从而断绝与系统或网络管理员所控制资源的依赖性。相比较而言,添加或修改系统帐户,或直接操纵其他系统资源,可能被警惕性高的管理员发现,而安装一个“外来代码”则可以在一段时间内不被发现,尤其是通过对操作系统做广泛的修改可使其隐蔽性更好。随着计算机技术的发展,木马的功能越来越强大,隐蔽性和破坏性不断提高,其数量也在急剧增加。2木马的原理和种类
自木马程序诞生至今,己经出现了多种类型,常见的有玩笑型、破坏型、密码发送型、远程访问型、键盘记录型、代理木马、反弹端口型木马等。大多数的木马都不是单一功能的木马,它们往往是很多种功能的集成品,因此,此处也只能给出一个大致的分类。(1)玩笑型玩笑木马程序不造成损坏,但会从计算机的扬声器中发出惹人讨厌的声音,让计算机屏幕看起来七扭八歪,或在屏幕上显示吓人的信息,如“现在正在格式化硬盘!”虽然这类木马程序非常气人,让人厌烦,但它们是无害的,很容易删除。(2)破坏型破坏型木马的惟一的功能就是破坏并且删除文件,可以自动删除电脑上的DLL、INI、EXE文件。从这一点上来说,它和病毒很相像。不过,一般来说,这种木马的激活是由攻击者控制的,并且传播能力也比病毒逊色很多。并且,木马通常不像病毒那样进行自我复制,也并不刻意地去感染其他文件。这是木马与病毒最本质的区别。(3)密码发送型密码发送型木马可以找到隐藏密码并把它们发送到指定的信箱。一些人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有一些人喜欢用Windws提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。这些木马利用WindowsAPI函数EnumWindows和EnumChildWin-dows对当前运行的所有程序的所有窗口(包括控件)进行遍历,通过窗口标题查找密码输入框,通过按钮标题查找应该单击的按钮,然后通过ES_PASSWORD查找需要输入的密码窗口。之后通过向密码输入窗口发送WM_SETTEXT消息模式模拟输入密码,向按钮窗口发送?WM_COMMAND消息模拟单击,从而实现密码破解。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。这类木马一旦被执行,就会自动搜索内存、Cache、临时文件夹以及各种敏感密码文件,一旦搜索到有用的密码,木马就会利用免费的电子邮件服务将密码发送到指定的邮箱。从而达到获取密码的目的,所以这类木马大多使用25号端口发送E-mail。大多数这类的特洛伊木马不会在每次Windows重启时重启。(4)远程访问型这种木马最广泛,只需有人运行了服务端程序,如果客AttackTechnologyandDefendingPoliciesofTrojanHorse
JINGXiaofang
(ChemicalIndustryMaterialInstituteChinaAcademyofEngineeringPhysics(CAEP),Mianyang629100)
【Abstract】TrojanHorseisakindofprogram,itself-startandresidentsintargetcomputer,andinterceptsonspecialport,thenitexecutesspecialoperation.Ithasgreatdamagesuchasconcealment、varioustype.ThisarticlediscussestheworkprinciplesandattacktechnologyanddefendingpoliciesonTrojanHorse。【Keywords】TrojanHorse;Resident;attacktechnology;defendingpolicies
本文收稿日期:2008年7月28日
119--计算机安全技术COMPUTINGSECURITYTECHNIQUES………………………………………………………………………………………………………………………………
户知道了服务端的IP地址,就可以实现远程控制。比如,冰
河就是一个远程访问型特洛伊木马。这类木马用起来是非常
简单,只需有人运行服务端并且得到了目标机的IP,就会访
问到目标机。利用远程访问型木马可以在目标机上干任何事。
远程访问型木马的普遍特征是:键盘记录、上传和下载功能、
注册表操作、限制系统功能……等。远程访问型特洛伊木马
会在电脑上打开一个端口以保持连接。
(5)键盘记录木马
这种木马非常简单,它们只做一件事情,就是记录受害
者的键盘敲击并且在LOG文件里查找密码。这种特洛伊木马
随着Windows的启动而启动。它们有在线和离线记录这样的
选项,顾名思义,分别记录在线和离线状态下敲击键盘时的
按键情况,从这些按键中他很容易就会得到密码等有用信息。
对于这种类型的木马,邮件发送功能也是必不可少的。
(6)DOS攻击木马
随着DOS攻击越来越广泛的应用,被用作DOS攻击的木
马也越来越流行起来。当黑客入侵了一台机器并在该机器上
种上DOS攻击木马,那么日后这台计算机就成为黑客DOS攻
击的最得力助手了。这种木马的危害不是体现在被感染计算
机上,而是体现在攻击者可以利用它来攻击一台又一台计算
机,给网络造成很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器
被感染,木马就会随机生成各种各样主题的信件,对特定的
邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
(7)代理木马
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己
的身份是非常重要的,因此,给被控制的机器种上代理木马,
让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。
通过代理木马,攻击者可以在匿名的情况下使用Telnet、ICQ、
IRC等程序,从而隐蔽自己的踪迹。(8)FTP木马
这种木马可能是最简单和古老的木马了,它的惟一功能
就是打开21端口,等待用户连接。现在新FTP木马还加上了
密码功能,这样,只有攻击者本人才知道正确的密码,从而
进入对方计算机。
(9)程序杀手木马
上面的木马功能虽然形形色色,不过到了对方机器上要
发挥自己的作用,还要过防木马软件这一关才行。常见的防
木马软件有ZoneAlarm、NortonAnti-Virus等。程序杀手木马
的功能就是关闭对方机器上运行的这类程序,让其他的木马
更好地发挥作用。
(10)反弹端口型木马
木马开发者在分析了防火墙的特性后发现:防火墙对于
连入的链接往往会进行非常严格的过滤,但是对于连出的链
接却疏于防范。于是,与一般的木马相反,反弹端口型木马
的服务端(被控制端)使用主动端口,客户端(控制端)使
用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起
见,控制端的被动端口一般开在80,即使用户使用扫描软件
检查自己的端口,发现类似TCPUserIP:1026ControllerIP:
80ESTABLISHED的情况,稍微疏忽一点,用户就会以为是自己在浏览网页。
3木马的植入方法
攻击者想通过木马攻击用户系统,必须首先将木马程序
植入到用户的计算机里。一般的木马程序都分为客户端和服
务器端两个部分,其中客户端用户攻击者远程控制植入木马
的计算机,服务器端程序即为木马程序。
目前木马入侵的主要途径还是先通过一定的方法把木马
执行文件放到被攻击者的计算机中,常见的方法有邮件附件、
下载软件等,即将非常小(一般都是几KB到几十KB)的木
马捆绑到邮件附件或下载的软件上。由于木马程序非常小,
因此很难被发现。当用户打开邮件附件或执行所下载软件的
时候,也就同时运行了木马,而且,木马程序都是悄悄地在
后台运行的,用户丝毫觉察不到。
此外,木马也常通过Script、ActiveX和ASP.CGI交互脚
本的方式植入。由于微软公司的浏览器在执行Script脚本时存
在一些漏洞,使得木马攻击者有机可乘。
4典型木马技术及防范措施
4.1自加载技术所谓自加载就是程序自运行。自加载的方法很多,比较
常见的有将需要运行的程序加载到启动里面,或把程序的启
动路径写到注册表的HKEY_LOCAL_MACHINE\SOFT-
WARE\Microsoft\CurrentVersions\Run项中,修改boot.ini(如
System.ini和Win.ini)文件,修改explorer.exe启动参数,或者修改注册表的键值直接启动。
如修改System.ini(位置C:\windows\文件的方法如下:
[boot]项原始值配置:“shell=explorer.exe”,explorer.
exe是Windows的核心文件之一,每次系统启动时,都会自动加载。
[boot]项修改后配置:“shell=explorerC:\windows\Trojan.
exe”(Trojan.exe即为某一木马程序)。又如修改Win.ini(位置C:\windows\)
[windows]项原始值配置:“load=”;“run=”,一般情况
下,等号后无启动加载项。
[windows]项修改后配置:“load=”和“run=”后加入木马的程序名。
这种木马的解决办法为:执行“运行→msconfig”命令,
将System.ini文件和Win.ini文件中被修改的值改回原值,并
将原木马程序删除。若不能进入系统,则在进入系统前按
“Shift+F5”进入CommandPromptOnly方式,分别键入命令
editsystem.ini和editwin.ini进行修改。
相对来说,修改注册表的方式要比上面的修改启动和
boot.ini文件要隐蔽得多。比如,对于注册表中的项:HKEY
LOCALMACHINE\Software\classes\exefile\shell\open\command\,120--